本局MAP版本 前局MAP版本 用户类型 取鉴权集结果 USIM V2 V3 SIM USIM V3 V2 SIM USIM V3 V3 SIM USIM 取回鉴权3元组 取回鉴权3元组 取回鉴权3元组 版本协商失败,前VLR不发送鉴权集 版本协商失败,前VLR不发送鉴权集 取回鉴权3元组 取回鉴权5元组
? 二次鉴权流程
在现网中,有可能的一些设备异常(包括MSC、VLR以及移动设备),会导致用户可能被分配到错误的TMSI,则会导致一些异常发生。如此场景:A和B两用户被分配到同一TMSI,则当A发起位置更新时,网络侧可能会认为发起请求的是用户B,所以使用用户B的鉴权集来鉴权用户A。显然,鉴权会失败,如果网络侧直接拒绝用户A的接入,则会导致用户A的接入失败,影响用户感受。为了提高用户的一次接入成功率,提升用户的使用体验,MSOFTX3000作了一下措施:
1、 在用户主动用TMSI接入鉴权失败的情况下,不直接拒绝用户的接入,而是向
用户获取IMSI,然后再次发起鉴权,如果用户这次鉴权成功,则允许用户接入。否则,拒绝用户接入。 2、 在用户主动用IMSI接入鉴权失败的情况下,不直接拒绝用户的接入,而是获
取新一组鉴权集,再次发起鉴权请求,如果用户这次鉴权成功,则允许用户接入。否则,拒绝用户接入。 3、 当网络侧用TMSI寻呼,用户响应并接入时,鉴权失败的情况下,网络不直接
拒绝用户的接入,而是向用户获取IMSI,如果这个IMSI与网络侧VLR保存的与TMSI相对应的IMSI一致,则获取新一组鉴权集,再次发起鉴权,如果这次鉴权成功,则允许用户接入。否则,拒绝用户接入。如果这个IMSI与网络侧VLR保存的与TMSI的对应IMSI不一致,如果P184BIT11=1,则获取新一组鉴权集,再次发起鉴权,如果这次鉴权成功,则允许用户接入。否则,拒绝用户接入。如果P184BIT11=0,则不发起再次鉴权,而直接拒绝用户的接入。 4、 当网络侧用IMSI寻呼,用户响应并接入时,鉴权失败的情况下,网络不直接
拒绝用户的接入,而是删除VLR中的鉴权集,到HLR获取新的鉴权集后,再次发起鉴权,如果这次鉴权成功,则允许用户接入。否则,拒绝用户接入。
二次鉴权由配置命令SET MAPPARA控制,如SET MAPPARA: SECONDAUTH=YES;。
说明
? GSM鉴权集复用
使用GSM鉴权集复用,可以减少C/D口的信令流量。鉴权集复用的风险有,非法入侵者监听无线信道,记录无线信道传输的RAND和合法的SRES,由于一段时间内网络侧将用同一个鉴权集鉴权,所以非法入侵者可以冒用合法用户的身份发起接入请求,网络侧继续使用原来的RAND鉴权,非法入侵者用刚才截获的SRES作为响应,从而通过网络鉴权。
GSM鉴权集的复用原理非常简单,VLR增加一个变量记录鉴权集的使用次数,该变量即由命令MOD VLRCFG配置。如果复用次数被设置为N,则每组鉴权集将被使用N+1次。
需要注意的是,对于5元组鉴权集,鉴权集复用是不起作用的。如果是在2G、3G的混合组网中,既有2G用户、又有3G用户的局点也可以设置鉴权集复用,但是该设置仅仅对3元组鉴权集有效,5元组鉴权集不支持鉴权集复用。
注意:对于5元组鉴权集,鉴权复用是不起作用的。如果是3元组,GSM鉴权集复用由命令MOD VLRCFG配置,如“MOD VLRCFG: AUTHPARAUSTS=xxx;”。
说明
? UMTS鉴权MAC失败流程
图1-12 UMTS鉴权MAC失败流程
IUUERNCMSCBVLRDHLRMAP_PROCESS_ACCESS_REQUESTMAP_UPDATE_LOCATION MAP_SEND_AUTHENTICATION_INFOMAP_SEND_AUTHENTICATION_INFO_ackMAP_AUTHENTICATEAUTHENTICATION FAILURE(MAC failure )MAP_SEND_AUTHENTICATION_FAILURE_REPORTMAP_SEND_AUTHENTICATION_FAILURE_REPORT ackMAP_PROCESS_ACCESS_REQUEST_REJMAP_UPDATE_LOCATION_REJ 详细信令流程见:1.3.9 UE鉴权UMTS网络MAC失败场景 流程描述如下:
1、 用户发起位置更新或业务流程,本局根据鉴权的相关配置(MOD AUTHCFG)
确定本次流程需要鉴权。 2、 如果此时VLR有鉴权集,则直接跳转到步骤4;如果此时VLR没用鉴权集,
则要到HLR获取鉴权集。 3、 如果HLR缓存有该用户的鉴权集,则直接把这个鉴权集发送给VLR;如果HL
R没有缓存该用户的鉴权集,则HLR请求AUC生成新的鉴权集,然后把这些鉴权集发送给VLR。 4、 MSC/VLR向UE发起鉴权请求。
5、 UE收到鉴权集后,把鉴权集发送给USIM处理。USIM MAC检查失败,UE
收到USIM MAC检查失败的消息后,向网络侧发送鉴权失败消息,原因为MAC failure(原因值20)。 6、 MSC/VLR收到UE的鉴权MAC失败消息后,把刚才下发的信元RAND发给HLR(用MAP_SEND_AUTHENTICATION_INFO),同时向UE发送位置更新拒绝或业务流程拒绝,原因为network failure(原因值17)。这样UE可能重新发起位置更新请求或者业务请求。
? UMTS鉴权同步失败流程
图1-13 UMTS鉴权同步失败流程
IUUERNCMSCBDVLRHLRMAP_PROCESS_ACCESS_REQUESTMAP_UPDATE_LOCATION MAP_SEND_AUTHENTICATION_INFOMAP_SEND_AUTHENTICATION ackMAP_AUTHENTICATEAUTHENTICATION FAILURE(Synch failure )MAP_SEND_AUTHENTICATION_INFO(RAND AUTS)MAP_SEND_AUTHENTICATION ackMAP_AUTHENTICATEMAP_AUTHENTICATE ack
流程描述如下:
1、 用户发起位置更新或业务流程,本局确定本次流程需要鉴权。
2、 如果此时VLR有鉴权集,则直接跳转到步骤4;如果此时VLR没用鉴权集,
则要到HLR获取鉴权集。 3、 如果HLR缓存有该用户的鉴权集,则直接把这个鉴权集发送给VLR;如果HL
R没有缓存该用户的鉴权集,则HLR请求AUC生成新的鉴权集,然后把这些鉴权集发送给VLR。 4、 MSC/VLR向UE发起鉴权请求。
5、 UE收到鉴权集后,把鉴权集发送给USIM处理。USIM MAC检查通过,但检
查SQNMS时,发现SQNHE小于或等于SQNMS,根据协议这时候要产生同步失败,USIM卡给AUC发送一条消息,让AUC调整SQNHE。USIM卡根据“SQN同步机制”章节描述方法产生AUTS,并把AUTS送给网络侧。 6、 MSC/VLR收到UE的同步失败消息后,把刚才下发的信元RAND和收到的A
UTS发给HLR(用MAP_SEND_AUTHENTICATION_INFO)。 7、 HLR收到同步失败的鉴权集请求消息后,把RAND和AUTS发送AUC,AUC重新生成一组鉴权集(几组鉴权集也可以,但协议建议只生成一组),然后通过HLR发送给MSC/VLR。 8、 MSC/VLR向UE发起鉴权请求。
9、 UE收到鉴权集后,把鉴权集发送给USIM处理。正常情况下,USIM检查MA
C和SQNHE都是没有问题的。如果此时SQNHE还是检查通不过,则USIM卡根据“SQN同步机制”章节描述方法产生AUTS,并把AUTS送给网络侧。然后重复6-8的处理过程,如果SQNHE还是检查通不过,这USIM卡根据“SQN同步机制”章节描述方法产生AUTS,并把AUTS送给网络侧,这时MSC/VLR为了避免这个过程循环,将停止同步流程,向UE发送位置更新拒绝或业务接入拒绝。即,MSC/VLR最多允许2次同步过程。
1.2.4 鉴权加密中的多网元版本兼容处理
由于历史的原因,各个运营商会在现网使用符合3GPP各种版本的设备,如R98,R99,R4,R5等等。如何使这些网元和谐相处,是对网络设备的严峻考验。为了给各个设备厂商提供指导,标准协议给我们提供了两个图分别描述USIM卡和SIM卡分别接入的场景。
由下面两图可以清晰看出,对于USIM卡,如果接入到R98-的MSC/VLR,则只能进行3元组鉴权。如果USIM卡接入UTRAN,则此时MSC/VLR必定是R99+版本,协议规定,此时只能用5元组鉴权,如果用3元组鉴权,则USIM卡必须拒绝鉴权。对于USIM卡接入GSM BSS的情况,MSOFTX3000将使用5元组鉴权,原则上,此时UE必须返回5元组鉴权响应XRES,但实际上目前也有返回3元组鉴权响应SRES实验用的手机(UE)。
R98-和 R99+所指为网络设备的版本,如MSC/VLR的版本。在华为MSC/VLR侧,对于R98-版本,本局MAP版本只能为phase1或phase2(由命令SET MAPACCFG配置,配置详情请见1.3.6节之配置影响),接入侧只能为BSS,而对于R99+版本,本局MAP版本一般设置为phase3,接入侧可以为BSS和UTRAN混合组网。
说明
图1-14 USIM卡与各不同版本的网元配合时的鉴权集处理
Release 99+HLR/AuCQuintetsCK, IK--> KcRES --> SRESTripletsRelease 99+ VLR/SGSNCK, IK--> KcCKIK[Kc]CK, IK--> KcRES--> SRES[Kc]Release 98-VLR/SGSN[Kc]UTRANRANDAUTNRESRANDAUTNRESGSM BSSRANDSRESRANDSRESR99+ MER98- MER99+ MEorR98- ME *KcCK, IK--> KcRES--> SRESCK, IKKcCK, IK--> KcCK, IKKcCK, IK--> KcKcCK, IK--> KcRES--> SRESUSIMUMTS security contextGSM security context
对于SIM卡,不管接入什么版本的MSC/VLR,都只能进行3元组鉴权。